AWS CloudTrail
- AWS CloudTrailの基本的な意味が理解できます
- CloudTrailの活用事例を知ることができます
- CloudTrailと他のサービスとの違いが分かります
① ストーリー性を取り入れた説明
新規事業開発部のケンイチは、月末の会議に向けて旅行写真の管理方法を見直していました。大量の写真データがどこに保存されているのか、誰がアクセスしているのか、正確に把握できていないことが、理由の一つでした。
もし不正アクセスがあったら…、もしデータが消えてしまったら…。考えれば考えるほど、ケンイチは不安になってきました。そこで、上司である課長に相談することにしました。
ケンイチ:
「課長、写真データの管理について相談があります。
データのアクセス状況を把握する方法はないでしょうか?
セキュリティ面も心配です。」
課長:
「それなら、AWS CloudTrail を検討してみるといいよ。
AWSの利用状況を記録して、セキュリティ対策にも役立つからね。」
ケンイチ:
「AWS CloudTrailですか?それは一体何でしょうか?」
課長:
「CloudTrailは、AWSのサービスで誰がいつ何をしたかを記録する、言わば『監査ログ』の役割を果たすものだ」
ケンイチ:
「監査ログ、ですか。具体的にどのようなことができるのですか?」
課長:
「例えば、誰かがS3バケットの写真をダウンロードしたとか、EC2インスタンスを起動したとか、そういう操作の記録が全部残るんだ」
ケンイチ:
「なるほど…。
それがあれば、不正アクセスや操作ミスがあった場合に、原因を特定しやすくなりますね。」
課長:
「そういうこと。
それに、CloudTrailはセキュリティの監視だけでなく、運用改善にも役立つんだよ。」
ケンイチ:
「運用改善ですか?それはどういうことでしょうか?」
課長:
「例えば、特定の時間帯にアクセスが集中していることが分かれば、その時間帯に合わせてサーバーの性能を上げるとか、そういう対策が取れるだろ?」
ケンイチ:
「なるほど、アクセス状況を分析して、より効率的な運用ができるようになるんですね。
でも、設定とか難しそうですね…。」
課長:
「設定自体は難しくないよ。
AWSマネジメントコンソールから数クリックで有効にできるから。」
ケンイチ:
「そうなんですね!それなら、私にもできそうです。」
課長:
「ただし、CloudTrailを使う上で注意点もある。
ログの保存期間や、保存先のS3バケットのアクセス権限設定はきちんと確認しておかないとね。」
ケンイチ:
「ログの保存期間とアクセス権限ですか。それはなぜ重要なのでしょうか?」
課長:
「ログの保存期間が短すぎると、必要な時にログが残っていない可能性があるし、アクセス権限が適切でないと、第三者にログを改ざんされたり、不正にアクセスされたりするリスクがあるからね。」
ケンイチ:
「なるほど…。
セキュリティ対策は万全にしておく必要があるんですね。」
課長:
「そういうこと。
それから、CloudTrailは他のAWSサービスと連携して、さらに高度な分析や自動化もできるんだ。」
ケンイチ:
「他のサービスとの連携ですか?
例えば、どのような連携ができるのでしょうか?」
課長:
「例えば、AWS CloudWatchと連携して、特定のイベントが発生した時に自動的に通知を受け取ったり、AWS Lambdaと連携して、ログを分析して自動的に対応したりできるんだ。」
ケンイチ:
「すごい…!
色々なことができるんですね。」
・AWSの操作履歴を記録
・セキュリティ対策に役立つ
・運用改善にも活用可能
ケンイチ:
「CloudTrailと似たようなサービスはありますか?」
課長:
「似たようなものだと、AWS Configがあるな。
CloudTrailは操作ログを記録するのに対し、ConfigはAWSリソースの設定変更を監視する点が違う」
よく間違えられやすい用語との違い
| 用語 | 主な役割 | 記録対象 | 活用例 |
|---|---|---|---|
| AWS CloudTrail | 操作ログの記録 | AWS APIの呼び出し | 不正アクセスの追跡 |
| AWS Config | 設定変更の監視 | AWSリソースの設定 | セキュリティルールの遵守 |
| VPC Flow Logs | ネットワークトラフィックの記録 | VPC内のネットワークフロー | ネットワークのボトルネック特定 |
ケンイチ:
「なるほど、CloudTrailは操作ログ、Configは設定変更、VPC Flow Logsはネットワークトラフィックを記録するんですね。
それぞれの役割が違うんですね。」
課長:
「そういうことだ。
まずはCloudTrailを設定して、AWSの利用状況を把握することから始めてみようか。
S3バケットの操作ログを記録するように設定するのがおすすめだよ。」
AWS CloudTrailとは、AWSアカウント上でのAPIコールやアクティビティを記録し、監査やセキュリティ分析を支援するサービスです
② 実際の事例
株式会社サイバーエージェント
AWS CloudTrailを活用して、セキュリティインシデントの早期発見と対応に役立てています。同社は、CloudTrailのログを分析することで、不審なAPIコールの検出や、アクセス権限の不備などを特定し、迅速な対応を可能にしています。
株式会社サイバーエージェント:https://www.cyberagent.co.jp/
AWS CloudTrail公式ページ:https://aws.amazon.com/jp/cloudtrail/
③ クイズや小テスト
クイズ1
AWS CloudTrailの主な役割として正しいのはどれ?
A:AWSアカウントのアクティビティを記録し監査する
B:AWSリソースのコストを最適化する
C:AWS環境のパフォーマンスを監視する
クイズ2
AWS CloudTrailのログで確認できない操作はどれ?
A:EC2インスタンスの起動
B:S3バケットへのファイルアップロード
C:ローカルPCのファイル編集
クイズ3
AWS CloudTrailのログ保存先として推奨されるのはどれ?
A:ローカルPC
B:Amazon S3
C:Amazon EC2
答え:
1-A:AWSアカウントのアクティビティを記録し監査する(APIコール等を記録)
2-C:ローカルPCのファイル編集(AWS外の操作は対象外)
3-B:Amazon S3(耐久性が高く安全なストレージ)
解説:CloudTrailはAWS環境での操作を記録します。ログはS3に保存し、セキュリティを確保しましょう。
